企業沒有內部資訊安全政策如同門戶大開
根據統計大部分的企業資料外洩都是由內部員工有意或無意外洩導致企業蒙受金錢與公司信用損失,從報章雜誌、媒體報導常可看見XX公司機密外洩經查為前離職員工刻意所為…諸如此類的報導近年來常常出現,沒有被報導曝光的案件相信一定更多,每年企業損失的金額更是以數十億來計算,企業內部資安這個議題其實已經存在已久,接觸這塊領域多年還是有頗多企業尚未導入內部資安系統,有些是沒有正視機密資料的安全等到機密資料外洩,才考慮導入相關政策或產品,有些是正視內部資安問題但是不知如何著手,以上都是常見到的情況。
工具輔助是必要的項目
關於內部資安企業除了制定相關政策,開始規範公司內部的資訊安全,政策裡資訊安全產品就是內部資安一項很重要的輔助工具,目前市面上工具很多種到底要怎麼選,其實工具的選擇端看企業內部的需求及所需防護的範圍而定,比如想要防護的範圍為「研發單位」這種小範圍建議可以採用「加密工具」防護,舉凡「研發單位」所產生的文件一律加密,文件在被加密的情況下即使被帶出單位以外文件一樣受到保護。
以精品科技「SVS安全碟」模組為例,需要先盤點出要防護的AP,當研發單位電腦指定的AP受到「SVS安全碟」模組控管後,可達到以下功能
- 把AP所產生的檔案都搬移到「SVS安全碟」裡面
- AP只能把檔案存到「SVS安全碟」裡面
- AP開啟非「SVS安全碟」裡面的檔案,修改後存檔只能存到「SVS安全碟」裡面
- 位於「SVS安全碟」裡面的檔案無法任意複製到「SVS安全碟」以外的地方
由上述四項可知「SVS安全碟」就是類似一個硬碟內的保險箱一樣,無法隨意把檔案取出,要存取裡面的檔案也需要有權限的AP才能讀取,這樣的機制即可達到防止資料外洩,又可以防止勒索病毒攻擊。
如果要防護的是全公司的電腦,建議可以採用「DLP」電子資料監控系統進行保護,這種系統就偏向針對電腦每個資料可能外洩的管道進行防護,以現階段電腦系統需要防護的管道有
- 外接式裝置:隨身碟、手機等都是資料外洩的管道
- 網路:網路芳鄰、雲端硬碟、電子郵件這些也是容易洩漏機密的管道
- 通訊軟體:透過LINE、Skype、微信可以把機密檔案外傳出去
一套完善合格的「DLP」防護系統除了要可以達到上述所需保護的對象外,每種防護另外也要有相對應詳細的記錄,比如:檔案寫出記錄、檔案操作記錄、通訊軟體檔案傳送記錄。詳細且完整的記錄可提供事後的稽核,友善的查詢介面也可提供管理人員記錄的查找。
以精品科技「X-FORT」為例,全公司的電腦必須安裝X-FORT控管程式,再由管理員根據不同部門制定不同政策,比如研發部門除了採用上述「SVS安全碟」模組外,亦可另外安裝X-FORT進行控管,如此可達到檔案加密保護外,電腦的操作行為亦可記錄,而其他部門可視實際狀況而套用不同政策,以不影響正常作又可達到最大防護為主要目標。
某製造業針對內部資訊安全進行控管經MIS與各部門了解實際作業流程與文件交換流程後制定如下政策
- 「研發部」:SVS安全碟:AUTOCAD、Inventor等繪圖軟體檔案加密
X-FORT:禁用隨身碟、禁用雲端硬碟、禁止使用WebMail、禁用通訊軟體、僅能透過公司郵件伺服器發信 - 「製造部」:無SVS安全碟
X-FORT:禁用隨身碟、禁用雲端硬碟、禁止使用WebMail、禁用通訊軟體傳送檔案、僅能透過公司郵件伺服器發信 - 「業務部」:無SVS安全碟
X-FORT:可用隨身碟但會記錄、禁用雲端硬碟、禁止使用WebMail、可用通訊軟體傳送檔案但會記錄
透過資訊安全工具的輔助可覆蓋約60%的內部資安問題,另外40%還需公司制定相關政策例如舉辦內部資安講座,並考試作為考核的成分等等來強化內部資安的堅固性。